Dass zur notwendigen Erhöhung des IT-Sicherheitsniveaus neben der materiellen Regulierung des IT-Sicherheitsrechts dessen tatsächliche Durchsetzung besonders wichtig ist, dürfte in Anbetracht der Sicherheitsvorfälle der letzten Zeit außer Frage stehen. Nicht jede Regulierung des IT-Sicherheitsrechts ist gleich effektiv im Hinblick auf ihre Durchsetzung: Selbst strengste Anforderungen an die IT-Sicherheit sind nicht zielführend, wenn sie nicht wirksam durchgesetzt werden. Geht man davon aus, dass das Gesamtniveau der IT-Sicherheit nur so hoch ist wie das Sicherheitsniveau des schwächsten Gliedes der Kette, so folgt daraus, dass für dessen Erhöhung alle Beteiligten vom Hard- und Softwarehersteller über den Handel und andere Intermediäre bis zum professionellen und privaten Endnutzern zusammenwirken müssen.[1] IT-Sicherheit ist mithin eine gesamtgesellschaftliche Aufgabe. Für die Durchsetzung bestehender wie zukünftiger IT-Sicherheitsregulierung ist es daher erforderlich, Durchsetzungsmechanismen zu schaffen und zu nutzen, die alle beteiligten Akteure in jeweils maßgeschneiderter Weise ansprechen können.
Behördliche Durchsetzungsebene
Die klassische Form der Durchsetzung sicherheitsrechtlicher Vorgaben – auch im IT-Sicherheitsrecht – bildet die behördliche Durchsetzung: Zuständige Behörden überwachen die Maßnahmen privater Akteure zur Sicherung der IT-Sicherheit und werden bei Bedarf im Wege behördliche Anordnungen (Verwaltungsakte) oder durch den Erlass von Bußgeldbescheiden tätig. Dies kann sowohl aufgrund eigener Ermittlungen als auch aufgrund von Anzeigen aus der Bevölkerung geschehen. Diese Form der Durchsetzung findet sich heute etwa beim Bundesamt für Sicherheit in der Informationstechnik (BSI) im Hinblick auf die Vorgaben des IT-Sicherheitsgesetzes, die nach § 8a BSI-Gesetz überwacht und durchgesetzt werden. Diese betreffen jedoch nur kritische Infrastrukturen (KRITIS) im Sinne von § 2 Abs. 10 BSI-Gesetz i.V.m. der BSI-KritisV.[2] Im Bankensektor sind die IT-sicherheitsrechtlichen Vorgaben noch komplizierter, weil neben dem IT-Sicherheitsgesetz zusätzlich die auf § 25a Abs. 1 S. 3 KWG beruhenden „Mindestanforderungen an das Risikomanagement (MaRisk)“ und die „Bankaufsichtlichen Anforderungen an die IT (BAIT)“ der Bundesanstalt für Finanzdienstleitungsaufsicht (BaFin) zu berücksichtigen sind.[3] Diese werden parallel von zwei Behörden durchgesetzt, dem BSI und der BaFin.[4] Neben diesen Vorgaben bestehen weitere Anforderungen nach Art. 32 DSGVO, deren Einhaltung durch die jeweiligen Landesbeauftragten für Datenschutz überwacht wird. Ähnlich liegt es im Bereich der Energiewirtschaft, wo § 11 EnWG IT-Sicherheitsanforderungen enthält, die von der Bundesnetzagentur (BNetzA) konkretisiert und überwacht werden.
Diesen Beispielen behördlicher Durchsetzung ist gemeinsam, dass jeweils nur ein überschaubarer Kreis von Normadressaten betroffen ist (KRITIS, Banken, Energieversorger), der zudem professionell organisiert ist und typischerweise zentrale Ansprechpartner für die zuständigen Behörden haben wird. Die behördliche Überwachungstätigkeit setzt daher zwar eine kompetente Besetzung der Behörden voraus, erfordert aber nur einen begrenzten Personaleinsatz. Als Durchsetzungsweg ist die hoheitliche Durchsetzung durch Behörden in diesem Rahmen sehr effizient möglich, weil die erlassenen Anordnungen als Hoheitsakte unmittelbare Rechtswirkungen entfalten und den Behörden hinreichende Zwangsbefugnisse entweder schon zustehen oder jedenfalls de lege ferenda verliehen werden können.
Allen drei genannten Behörden ist zudem gemein, dass sie fachlich unabhängig von den übergeordneten Ministerien agieren. Dadurch ist sichergestellt, dass auch auf die Durchsetzung von IT-Sicherheit kein unmittelbarer politischer Einfluss genommen werden kann, worin zugleich ein Vorteil und ein Nachteil der behördlichen Durchsetzung liegt. Einerseits werden dadurch unmittelbare Einflussmöglichkeiten der Politik beschränkt, die etwa auf eine gezielte Absenkung des IT-Sicherheitsniveaus hinwirken könnte, um staatliche Überwachungsmaßnahmen zu ermöglichen. Andererseits ist der Einfluss der Politik auch im Hinblick auf die Steigerung des IT-Sicherheitsniveaus begrenzt, weil diesen Behörden zwar entsprechende Aufgaben und Mittel zugewiesen werden können, deren konkrete Nutzung im Einzelfall aber nicht vorgegeben werden kann.
Die behördliche Durchsetzung von IT-Sicherheitsvorgaben gerät jedoch zum einen dort an Grenzen, wo die Zahl betroffener Akteure den überschaubaren Rahmen verlässt, sodass keine Behörde, egal wie gut sie ausgestattet ist, eine lückenlose Überwachung und Durchsetzung des IT-Sicherheitsrechts gewährleisten kann. So wäre jede Behörde evidentermaßen damit überfordert, die Konfiguration und das Sicherheitsniveau der unzähligen Computersysteme privater Endbenutzer zu überprüfen; das gilt auch bereits für die IT-Infrastruktur aller Unternehmen und ebenso für die Prüfung sämtlicher in Deutschland vertriebener Hard- und Software. Zum anderen findet sie eine wesentliche Grenze im Territorialitätsprinzip, wonach deutsche Behörden in der Regel nicht im Ausland tätig werden dürfen.[5] Die Lieferketten und Nutzungszusammenhänge moderner IT-Systeme halten sich jedoch nicht an staatliche Grenzen, sodass staatliche Behörden immer nur einen Teil der relevanten Akteure erreichen können. Beide Grenzen behördlicher Durchsetzung treffen sich bei der Überwachung importierter Software: Während importierte Hardware wenigstens im Hinblick auf die Anforderungen klassischer Vorschriften des Produktsicherheitsrechts beim Import nach Deutschland durch den Zoll überprüft werden kann, ist dies für Software ausgeschlossen, gleich ob sie als embedded Software mit der Hardware importiert wird oder ohnehin per Download ins Land gelangt.
Behördliche Durchsetzung mittels hoheitlichen Zwangs kann daher nur ein – wenngleich wichtiger – Baustein in der Gesamtarchitektur der Durchsetzung von IT-Sicherheitsrecht in der Wertschöpfungskette sein. Sinnvoll ist sie in fest abgrenzbaren Anwendungsbereichen, deren Akteure sich in einem überschaubaren Rahmen halten und deren Einfluss sich erheblich auf die Sicherheit (auch außerhalb der IT) auswirken kann, wie dies beispielsweise bei KRITIS der Fall ist.
Vertrags- und haftungsrechtliche Durchsetzungsebene
Eine andere Möglichkeit der Durchsetzung bildet die Durchsetzung durch Private auf der Grundlage des Vertrags- und Haftungsrechts. Die materiellen Anforderungen des IT-Sicherheitsrechts, wie sie sich aus spezifischen IT-Sicherheitsgesetzen, aber auch aus etablierten technischen Standards (wie beispielsweise DIN-, VDE-, ISO-Normen) ergeben, werden zur Ausfüllung der vertrags- und haftungsrechtlichen Generalklauseln herangezogen: Das gilt etwa für den kauf-, miet- oder werkvertragsrechtlichen Mangelbegriff (§§ 434 Abs. 1 S. 2 Nr. 2, 536 Abs. 1 S. 1, 633 Abs. 1 S. 2 Nr. 2 BGB), den produkthaftungsrechtlichen Fehlerbegriff (§ 3 ProdHaftG)[6], die Definition und Konkretisierung der deliktsrechtlichen Verkehrssicherungspflichten (§ 823 Abs. 1 BGB)[7] und der vertraglichen Rücksichtnahmepflichten (§ 241 Abs. 2 BGB)[8] sowie der „im Verkehr erforderlichen Sorgfalt“ nach dem Fahrlässigkeitsbegriff des § 276 Abs. 2 BGB[9]. Aus der Nichtbefolgung der Vorschriften des IT-Sicherheitsrechts ergeben sich dann vertragliche und außervertragliche Ansprüche gegenüber den ursprünglichen Normadressaten. Dies können vertragliche Gewährleistungsrechte, aber auch Schadensersatzansprüche im Falle von Schäden durch IT-Sicherheitsvorfälle sein. Das drohende Haftungsrisiko setzt einen Anreiz zur Einhaltung der materiellen Anforderungen an die IT-Sicherheit, woraus faktisch die Durchsetzung der Verhaltensvorschriften des IT-Sicherheitsrechts folgt.
Die Durchsetzung des IT-Sicherheitsrechts wird dadurch de facto in die Hände derjenigen gelegt, die primär durch ebendiese Vorschriften auch geschützt werden sollen. Als Geschädigte haben diese ein originäres Eigeninteresse an der Kompensation ihres erlittenen Schadens, sodass sie diesen ggfs. gerichtlich geltend machen werden, was schließlich auch aus Sicht der Verantwortlichen die Wahrscheinlichkeit einer Verfolgung von IT-Sicherheitsverstößen erheblich erhöht.[10] Ähnlich liegt es im vertraglichen Gewährleistungsrecht: Hier erwarten die Nutzer typischerweise, für ihr Geld ein angemessen sicheres IT-Produkt zu erhalten, und können bei Sicherheitsdefiziten Gewährleistungsrechte (Nachbesserung, Minderung, Rücktritt, Schadensersatz) geltend machen.[11] Wer im Falle von IT-Sicherheitsverstößen mit Ansprüchen seiner Kunden oder Dritter rechnen muss, wird rationaler Weise einen angemessenen Aufwand betreiben, um derartige Verstöße zu verhindern. Im Gegensatz zur behördlichen Durchsetzung bedarf die vertrags- und haftungsrechtliche Durchsetzungsebene nicht der Einrichtung oder des Ausbaus einer staatlichen Stelle. Die tatsächliche Durchsetzung liegt vielmehr in der Hand der Zivilgerichte, die ohnehin mit sinkenden Fallzahlen konfrontiert sind.
Hinzu kommt, dass die gesetzlichen Voraussetzungen für eine vertrags- bzw. haftungsrechtliche Durchsetzung bereits im geltenden Recht bestehen: Die genannten Generalklauseln des Vertrags- und Haftungsrechts enthalten aufgrund ihres hohen Abstraktionsniveaus zwar keine konkreten inhaltlichen IT-Sicherheitsanforderungen; sie beziehen sich aber jeweils auf die berechtigten Sicherheitserwartungen des Verkehrs. Diese Bezugnahme wirkt wie ein Transmissionsriemen für die Übertragung der materiellen Anforderungen an die IT-Sicherheit (aus öffentlich-rechtlichen Vorschriften sowie technischen Regelwerken) in das Vertrags- und Haftungsrecht. Und selbst wo derartige konkrete Vorgaben noch fehlen, haben die Zivilgerichte aufgrund der genannten Generalklauseln die Aufgabe, solche ad hoc aus den allgemeinen Maßstäben der berechtigten Sicherheitserwartungen des Verkehrs zu entwickeln. Freilich ist hierzu eine Weiterentwicklung der Rechtsprechung nötig, die bislang insbesondere eine Verantwortlichkeit der Betreiber von IT-Geräten für deren Sicherheit (z.B. das regelmäßige Einspielen von Updates) nur in engen Grenzen anerkannt hat.[12] Das Zivilrecht ist damit bereits heute für eine vertrags- und haftungsrechtliche Durchsetzung des IT-Sicherheitsrechts insbesondere im Verhältnis zwischen Endkunden und Herstellern sowie Händlern grundsätzlich geeignet.
Allerdings ist die Durchsetzung durch Private mit erheblichen Beweisschwierigkeiten verbunden: Im Unterschied zu Behörden fehlen Privaten die entsprechenden Ermittlungsbefugnisse, sodass erforderliche Nachweise häufig nicht gerichtsfest erbracht werden können. Trotz theoretisch bestehender Durchsetzungsmöglichkeit können Private aus diesem Grund an der tatsächlichen Durchsetzung scheitern. Hinzu kommt, dass erfahrungsgemäß nur ein verschwindend geringer Bruchteil der materiellrechtlich bestehenden zivilrechtlichen Ansprüche tatsächlich auch gerichtlich durchgesetzt wird – zumal, wenn es nur um abstrakte Risiken geht wie bei Sicherheitslücken in gekaufter Software, die bisher noch nicht zum Schaden des Käufers ausgenutzt wurden. Die „rationale Apathie“ der Endkunden[13] bewirkt hier gravierende Rechtsschutzlücken, die auch mit den neuen Instrumenten des kollektiven Rechtsschutzes (z.B. der Musterfeststellungsklage) nicht vollständig geschlossen werden.
Wettbewerbsrechtliche Durchsetzungsebene
Neben die individualrechtliche private Rechtsdurchsetzung durch betroffene Nutzer oder Dritte müssen daher kollektive Rechtsschutzinstrumente treten, die geeignet sind, die „rationale Apathie“ zu überwinden. Angesprochen ist damit zum einen die verbraucherschutzrechtliche Rechtsdurchsetzung nach dem Unterlassungsklagengesetz (UKlaG), zum anderen die wettbewerbsrechtliche Durchsetzung nach dem UWG. Diese Rechtsinstrumente geben Verbraucherschutzverbänden und anderen qualifizierten Einrichtungen sowie konkurrierenden Unternehmen am Markt das scharfe Schwert von Abmahnungen und Unterlassungsklagen bei Rechtsverstößen in die Hand. Gegenüber einer zentralen Behörde wird dadurch die Rechtsdurchsetzung auf eine wesentlich breitere Basis gestellt. Insbesondere Verbands- und Konkurrentenklagen nach dem UWG haben sich in vielen Zusammenhängen als probates Mittel bewährt, um „schwarze Schafe“, die sich nicht an bestehende Regeln halten, aus dem Markt zu drängen. Sowohl unmittelbare Wettbewerber als auch klagebefugte Branchenverbände haben ein originäres Eigeninteresse daran, Verstöße anderer Unternehmen gegen IT-Sicherheitsvorgaben zu unterbinden, um unlauteren Wettbewerb zu verhindern.
In der Sache enthalten zwar weder des UKlaG noch das UWG eigene Maßstäbe zur IT-Sicherheit; sie stellen jedoch ein (weiteres) rechtliches Instrument zur Durchsetzung anderweitiger Vorgaben für die IT-Sicherheit zur Verfügung. Dieses ist vor allem für solche Vorschriften des IT-Sicherheitsrechts geeignet, die sich primär an Intermediäre (beispielsweise Händler) richten. Da im Rahmen dieser Durchsetzungsebene die Normbefolgung der ständigen Kontrolle von Wettbewerbern und Verbänden unterliegt, werden die Normadressaten im besonderen Maße zur Einhaltung der Verpflichtungen bewegt, um etwaigen Abmahnungen und Unterlassungsklagen zu entgehen.
Voraussetzung ist allerdings auch hier, dass die Zivilgerichte, die für die Entscheidung über derartige Unterlassungsklagen zuständig sind, die Generalklauseln des UKlaG bzw. des UWG im Lichte der IT-sicherheitsrechtlichen Vorgaben auslegen und anwenden. So sollten bei den verbraucherschutzrechtlichen und wettbewerbsrechtlichen Einzelregelungen im Rahmen des jeweiligen Schutzzwecks ihre Auswirkung auf das IT-Sicherheitsniveau berücksichtigt werden: Informationen über veraltete Betriebssysteme oder die Einstellung der Versorgung mit Sicherheitsupdates sollten beispielsweise als „wesentliche Informationen“ i.S.v. § 5a Abs. 2 S. 1 UWG bzw. § 1 Abs. 1, Abs. 2 S. 1 Nr. 1c UKlaG i.V.m. § 312a Abs. 2 S. 1 BGB, Art. 246 Abs. 1 Nr. 1 EGBGB angesehen werden, über die Händler ihre Endkunden informieren müssen.[14] Auch dies setzt allerdings keine neue Gesetzgebung voraus, sondern lediglich eine Interpretation des geltenden Rechts im Lichte der gesamtgesellschaftlichen Bedeutung einer Steigerung des IT-Sicherheitsniveaus.
Fazit
Die soeben erfolgten Ausführungen zeigen, dass die Durchsetzung von Vorschriften zur IT-Sicherheit auf verschiedenen Ebenen erfolgen kann. Eine besonders strenge und konsequente Durchsetzung kann durch Behörden erzielt werden – aufgrund des hohen personellen wie finanziellen Aufwands für die öffentliche Hand allerdings nur gegenüber besonders bedeutsamen Akteuren wie den Betreiber von KRITIS, Banken, Energieversorgern o.ä. Ein weiterer wichtiger Baustein ist die vertrags- und haftungsrechtliche Durchsetzung der Vorschriften zur IT-Sicherheit durch private Vertragspartner oder Geschädigte, soweit diesen durch die IT-Sicherheitsverstöße unmittelbar Nachteile entstehen. Sich dabei eventuell ergebende faktische Verfolgungshindernisse könnte der Gesetzgeber, aber auch die Zivilgerichte punktuell korrigieren – beispielsweise durch gesetzliche Vermutungen oder Beweislasterleichterungen. Es bleiben aber in jedem Fall Durchsetzungslücken aufgrund der rationalen Apathie der betroffenen Privaten.
Diese Lücken können durch die kollektiven Rechtsschutzinstrumente (Abmahnungen und Unterlassungsklagen) des Verbraucherschutz- und Wettbewerbsrechts geschlossen werden. Durch entsprechende Interpretation der einschlägigen Vorschriften kann Wettbewerbern und Verbänden die Befugnis zur Kontrolle der Einhaltung von rechtlichen Vorgaben und technischen Standards im Bereich der IT-Sicherheit eingeräumt werden. Auch dieses Instrumentarium dürfte die Bereitschaft zu deren Einhaltung erheblich erhöhen.
Die genannten Durchsetzungsmöglichkeiten schließen sich keineswegs gegenseitig aus, sondern ergänzen sich zu einer umfassenden Architektur der Durchsetzung von rechtlichen und technischen Vorgaben zur IT-Sicherheit gegenüber allen Akteuren der Wertschöpfungskette von den Herstellern über Intermediäre bis zu den Endnutzern und tragen so zu einer effektiven Anhebung des gesamten IT-Sicherheitsniveaus bei.
Prof. Dr. Thomas Riehm / Stanislaus Meier, Universität Passau
Dieser Beitrag erschien erstmals im BayWiDI-Magazin 1/2020. Die vollständige Ausgabe finden Sie hier.
[1] Zum Sinnbild der Kette in der IT-Sicherheit Eckert, IT-Sicherheit, 10. Aufl. 2018, S. 37.
[2] Voigt, in: v.d. Bussche/Voigt, Konzerndatenschutz, 2. Aufl. 2019, Teil 5, Kap. 3, Rn. 30 f.
[3] Frisse/Glaßl/Baranowski, BKR 2018, 178.
[4] Näher dazu dies., BKR 2018, 177 ff.
[5] Allgemein zu diesem Nachteil bei der behördlichen Durchsetzungsebene Wagner, AcP 206 (2006), 352, 449.
[6] Im Zusammenhang mit Technischen Standards sowie DIN-Normen Goehl, in: beck-online Großkommentar, Stand: 01.04.2020, § 3 ProdHaftG Rn. 63.
[7] Näher dazu Spindler, Verantwortlichkeiten von IT-Herstellern, Nutzern und Intermediären, 2007, Rn. 146.
[8] In Verbindung mit DIN-Normen BGH v. 22.08.2019 – III ZR 113/18, BeckRS 2019, 20304 Rn. 15.
[9] Caspers, in: Staudinger BGB, 2019, § 276 BGB Rn. 39.
[10] Allg. zum Interesse des Geschädigten an der Kompensation des erlittenen Schadens Wagner, AcP 206 (2006), 352, 446.
[11] Näher zum Gewährleistungsrecht bei Hard- und Software Redeker, IT-Recht, 6. Aufl. 2017, Rn. 509, 545 f.
[12] Vgl. LG Köln MMR 2008, 259 ff.; LG Hamburg CR 2007, 121, 122.
[13] Vgl. Lange, in: Vorwerk/Wolf, KapMuG, 2. Aufl. 2020, Einl. Rn. 2.
[14] A.A. OLG Köln MMR 2020, 248 m. abl. Anm. Riehm/Meier, MMR 2020, 250 f.